İCO. 


Information Commissioner’s Office 


Canllaw — ffurflen rhoi gwybod am 
drosedd 


Ar ôl ichi ddarllen ein canllawiau os oes arnoch angen cymorth o hyd i 
lenwi'r ffurflen hon, cysylltwch â'n llinell gymorth ar 0303 123 1113 (ar 
waith 9am i 5pm dydd Llun i ddydd Gwener). 


Am eich adroddiad chi 


Atebwch y cwestiynau a ganlyn, i'n helpu i ymdrin â'ch adroddiad yn 
effeithlon a deall ein cwsmeriaid yn well. 


Os ydych chi wedi siarad eisoes ag aelod o staff yr ICO am y trosedd hwn, 
rhowch eu henw. 


Mae hyn yn ein helpu i nodi pa aelod o staff a allai fod yn gyfarwydd â'ch 
digwyddiad penodol chi eisoes. Rhowch yr enw llawn. 


Y math o adroddiad 


Manylwch yma ai dyma'r tro cyntaf ichi roi gwybod i'r ICO am y trosedd 
ac os felly a ydych chi'n cyflwyno adroddiad sydd wedi'i gwblhau neu a 
fyddwch yn anfon gwybodaeth ychwanegol. Yn yr un modd, os ydych yn 
darparu gwybodaeth ychwanegol ynglŷn ag adroddiad sy'n bodoli eisoes, 
dywedwch a ydy hwnnw'n adroddiad sydd wedi'i gwblhau neu a fydd 
gwybodaeth ychwanegol yn dilyn. Pan fydd yr adroddiad am y trosedd 
wedi'i gofnodi ar ein system, cewch neges ebost o gydnabyddiaeth yn rhoi 
manylion cyfeirnod yr achos. Os ydych yn darparu adroddiad dilynol, 
cofiwch gynnwys y cyfeirnod hwn gan ei fod yn ein galluogi i gysylltu'ch 
gwybodaeth ychwanegol â'r achos presennol sydd gennym ar eich cyfer. 


Os ydych yn darparu gwybodaeth gyfyngedig yn unig yn eich adroddiad 
cychwynnol, gofalwch ddarparu adroddiad dilynol yn brydlon. 


Y rheswm am yr adroddiad - ar ôl ichi edrych ar y canllawiau 


Ar ôl asesu'r canllawiau priodol, gan gynnwys cwblhau'r offeryn hunan- 
asesu ar ein gwefan, rhowch y rheswm am yr adroddiad. 
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Rwyf o'r farn bod y digwyddiad yn cyrraedd y trothwy ar gyfer rhoi 
gwybod 


Rydych chi wedi asesu'r trosedd ac rydych o'r farn bod yna risg o niwed i'r 
testunau data ac felly yn rhoi gwybod i'r ICO yn y modd priodol. 


Dwy ddim o'r farn bod y digwyddiad yn cyrraedd y trothwy ar gyfer rhoi 
gwybod, ond rwyf am ichi fod yn ymwybodol ohono 


Sylwch mai dim ond troseddau sy'n cyrraedd y trothwy ar gyfer rhoi 
gwybod a ddylai gael eu hysbysu i'r ICO. Does dim rhwymedigaeth i roi 
gwybod i'r ICO am ddigwyddiadau lle mae'r risg yn debygol o fod yn isel. 
Er hynny, mewn achosion o'r fath, mae disgwyl ichi gofnodi'r trosedd yn 
fewnol. Dylai hyn gynnwys y ffeithiau, yr effeithiau, y mesurau cyfyngu 
a'r mesurau adfer a roddwyd ar waith yn sgil y trosedd. 


Dwy ddim yn glir a yw'r digwyddiad yn cyrraedd y trothwy ar gyfer rhoi 
gwybod ai peidio 


Os dyma'r tro cyntaf ichi roi gwybod am drosedd i'r ICO neu os oes 
arnoch angen cymorth ychwanegol o ran digwyddiad penodol, cysylltwch 
â'n llinell gymorth ar 0303 123 1113 (ar waith 9am i 5pm dydd Llun i 
ddydd Gwener) lle gallwch drafod y trosedd gydag aelod o staff ac, os 
yw'n briodol, cyflwyno'r adroddiad dros y ffôn. 


Maint y Sefydliad 


Dywedwch a ydych yn sefydliad sydd â llai na 250 o staff ynteu 250 a 
rhagor o staff. 


Ai dyma'r tro cyntaf ichi gysylltu â ni am drosedd ers i'r GDPR 
ddod i rym? 


Wrth ystyried y cwestiwn hwn, ystyriwch nid yn unig gysylltu â'r ICO i roi 
gwybod am drosedd ond hefyd os ydych chi wedi gofyn inni am gyngor 
ynghylch trosedd. 


Ynglŷn â'r trosedd 


Atebwch y cwestiynau hyn mor drylwyr ag y bo modd er mwyn sicrhau 
bod gan staff yr ICO sy'n asesu'r trosedd ddigon o wybodaeth i gael 
dealltwriaeth lawn o'r digwyddiad dan sylw. Peidiwch â defnyddio 
acronymau neu jargon mewnol i sicrhau bod y cynnwys yn glir i unigolion 
nad ydynt o bosibl yn gyfarwydd â'r systemau etc sy'n cael eu defnyddio 
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yn eich sefydliad chi. Sylwch nad yw'r enghreifftiau yn y canllaw hwn yn 
gynhwysfawr ac mai fel canllaw y dylech eu cymryd. 


Disgrifiwch beth ddigwyddodd 


Rhowch grynodeb o'r digwyddiad. Dylai'r trosolwg cychwynnol hwn 
alluogi'r ICO i gael dealltwriaeth gyffredinol o natur y trosedd. 


Disgrifiwch sut digwyddodd y digwyddiad 


Beth sydd wrth wraidd y trosedd? Er enghraifft, a allai fod wedi deillio o 
wall dynol, methiant mewn system neu efallai methiant i gydymffurfio â'r 
polisïau a'r gweithdrefnau presennol sydd eisoes yn eu lle. 


Sut canfyddodd y sefydliad y trosedd? 


Er enghraifft, ai derbynnydd anghywir/aelod o'r cyhoedd a roddodd wybod 
i'r sefydliad? Wnaeth yr aelod staff sylweddoli'r camgymeriad a allai fod 
wedi'i wneud? Sut cafodd eich sylw ei dynnu ato? 


Pa fesurau ataliol a oedd gennych ar waith? 


Er enghraifft, polisïau a gweithdrefnau clir, rhestr wirio neu efallai 
ffurfweddiad system o ryw ddisgrifiad i helpu i atal achosion o droseddau 
o'r math hwn. 


A gafodd y trosedd ei achosi gan ddigwyddiad seiber? 


Er enghraifft, gafodd y trosedd ei achosi gan feddalwedd wystlo neu 
ymosodiad gwe-rwydo. 


Pryd digwyddodd y trosedd? 


Gan ddibynnu ar natur y trosedd, gall fod yn anodd nodi'r union amser a 
dyddiad y digwyddodd. Os felly cewch roi amcangyfrif bras. 


Pryd cafodd y trosedd ei ganfod? 


Sylwch mai pryd y daeth y sefydliad yn weddol ymwybodol yw hyn, sy'n 
gallu bod yn wahanol i pryd y daeth y sawl sy'n rhoi gwybod yn 
ymwybodol o'r trosedd. 


Categorïau o ddata personol sydd dan sylw yn y trosedd 


Ystyriwch natur y data personol y mae'r trosedd wedi effeithio arno a 
chofnodwch hyn yn yr adran hon. Sylwch fod cyfeiriadau testunau data yn 
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cael eu cyfrif fel 'dynodwyr personol sylfaenol' a bod cyfesurynnau'n cael 
eu cyfrif fel 'data lleoliad'. Rhowch fanylion ychwanegol i helpu'r ICO i 
asesu'r data yn ei gyd-destun. Er enghraifft, gall data iechyd amrywio o 
ddata eithaf sensitif i ddata hynod sensitif. 


Nifer y cofnodion data personol o dan sylw? 


Gallai cofnod unigol fod yn ffurflen/rhestr, llyfr nodiadau neu ddyfais 
electronig sydd ar goll. Ar y llaw arall, gallai neges ebost fod wedi'i hanfon 
at 20 o unigolion, ac felly byddai hyn yn cael ei chyfrif fel 20 o gofnodion. 
Wrth asesu nifer y cofnodion data, ystyriwch natur y digwyddiad a faint o 
gofnodion y gallai trydydd parti eu cyrchu. Mewn rhai achosion gallai hyn 
olygu copi dyblyg o'r un cofnod (e.e. neges ebost). 


Faint o destunau data y gallai hyn effeithio arnynt? 


Mae hyn yn ymwneud â thestunau data y mae'r trosedd wedi effeithio ar 
eu data personol: nid yw'n cynnwys, er enghraifft, pobl sydd wedi derbyn 
data unigolyn arall yn anghywir. 


(Digwyddiadau seiber yn unig) Os nad yw nifer y testunau data yr 
effeithir arnyn nhw yn hysbys, amcangyfrifwch y nifer uchaf 
posibl y gallai hyn effeithio arnyn nhw/ cyfanswm y cwsmeriaid 


Adeg eich adroddiad, efallai na fyddwch yn gwybod faint o destunau data 
y mae'r trosedd wedi effeithio arnyn nhw. Felly, dylech chi nodi'r 
uchafswm y gallai hyn effeithio arnyn nhw. Os gallai hyn effeithio ar bob 
un o'ch cwsmeriaid, dylech nodi faint o gwsmeriaid sydd gennych. 


Categorïau o destunau data yr effeithiwyd arnynt? 


Ticiwch bob un sy'n gymwys. Os nad yw categori wedi'i restru, rhowch 
fanylion ychwanegol yn yr adran yn uniongyrchol o dan 'arall'. 


Disgrifiwch unrhyw niwed i unigolion sydd wedi codi hyd yn hyn, 
neu unrhyw niwed rydych chi'n rhag-weld y gallai godi yn y 
dyfodol 


Disgrifiwch yr effaith bosibl ar y testunau data, yn sgil y trosedd adeg 
cyflwyno'r adroddiad a/neu unrhyw effaith ar y testunau data a allai 
ddigwydd yn nes ymlaen. Dywedwch a oes testunau data wedi cael niwed 
gwirioneddol. 


Er enghraifft, oes yna risg bosibl o ddwyn hunaniaeth? 
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Ydy'r trosedd data personol yn debygol o arwain at risg uchel i 
destunau data? 


Rhowch fanylion eich asesiad cyffredinol o'r risg mewn perthynas â'ch 
hysbysiad torri rheolau. 


A gafodd yr aelod staff a fu'n rhan o'r digwyddiad hwn 
hyfforddiant diogelu data yn ystod y ddwy flynedd diwethaf? 


Disgrifiwch yr hyfforddiant diogelu data rydych chi'n ei ddarparu, 
gan gynnwys amlinelliad o gynnwys ac amlder yr hyfforddiant 


Rhowch ddisgrifiad byr: dydyn ni ddim yn gofyn ichi anfon copi o'ch 
deunyddiau hyfforddi aton ni. Er enghraifft, gallai'ch hyfforddiant gynnwys 
e-ddysgu ar-lein neu hyfforddiant wyneb yn wyneb yn yr ystafell 
ddosbarth. 


Os oes oedi wedi bod cyn rhoi gwybod am y trosedd hwn, 
esboniwch pam 


Pam na chafodd yr adroddiad ei gyflwyno o fewn yr amserlen 72 awr. 
Rhowch eich rhesymeg y tu ôl i'r gohirio hwn. 


Cymryd camau 


Ydych chi wedi cymryd camau i gyfyngu'r trosedd neu i gyfyngu ei 
effaith? Disgrifiwch y camau adfer hyn 


Gallai hyn gynnwys ymdrechion llwyddiannus i adfer yr wybodaeth neu 
gadarnhad y gallech fod wedi'i gael gan dderbynwyr anghywir fod y data 
wedi'i ddileu/wedi'i ddinistrio ac na fydd yn cael ei drosglwyddo 
ymhellach. Fel arall, os oes dyfais electronig wedi ei cholli/wedi ei dwyn, 
cadarnhad bod y cynnwys wedi'i ddileu er mwyn atal unigolion heb 
awdurdod rhag ei weld. 


Amlinellwch unrhyw gamau rydych chi'n eu cymryd i atal hyn rhag 
digwydd eto, a pha bryd rydych chi'n disgwyl y byddan nhw 
wedi'u cwblhau 


Mae'r adran hon yn canolbwyntio ar yr hyn rydych chi'n ei wneud i ddysgu 
o'r digwyddiad ac atal rhywbeth tebyg rhag digwydd eto. Dylai fod 
gennych chi amserlen ar gyfer pob cam rydych chi'n bwriadu ei gymryd. 
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Disgrifiwch unrhyw gamau eraill rydych chi wedi'u cymryd, neu'n 
bwriadu eu cymryd, o ganlyniad i'r trosedd 


Mae'r adran hon ar gyfer unrhyw fanylion rydych chi heb eu cynnwys yn 
barod. 


Ydych chi wedi dweud wrth y testunau data am y trosedd? 


Cymerwch y camau mwyaf priodol ar gyfer eich sefyllfa chi ar sail yr 
wybodaeth a ddarparwyd i hysbysu'r ICO a ydych wedi rhoi gwybod i'r 
testunau data yr effeithiwyd arnynt. 


Ydych chi wedi dweud, neu'n bwriadu dweud, wrth unrhyw 
sefydliadau eraill am y trosedd? 


Er enghraifft yr Heddlu, rheoleiddwyr neu awdurdodau goruchwylio eraill. 
Ystyriwch unrhyw sefydliadau eraill y gall fod angen eu hysbysu. 


Ydych chi'n aelod o gynllun Cod Ymarfer GDPR y Deyrnas Unedig 
neu gynllun Ardystio, fel y maen nhw wedi'u cymeradwyo ac 
wedi'u cyhoeddi ar wefan yr ICO? 


Rhowch gadarnhad o enw'r Cynllun/Cod 


Dylech ddweud wrthon ni os ydych chi'n aelod o gynllun Cod Ymddygiad 
neu Gynllun Ardystio GDPR y Deyrnas Unedig. Mae'r holl Godau a 
Chynlluniau wedi'u rhestru ar wefan yr ICO. 


Ydy gofynion y Cod neu'r Cynllun yn berthnasol i'r trosedd sydd 
wedi digwydd? 


Er enghraifft, ydy'r Cod neu'r Cynllun yn ei gwneud yn ofynnol ichi gael 
mesurau penodol ar waith i ddiogelu data personol o'r math sy'n 
gysylltiedig â'r trosedd hwn? 


Ydych chi wedi rhoi gwybod i'r Corff Monitro neu'r Corff Ardystio 
perthnasol? 


Efallai y byddwn yn gofyn ichi roi gwybod i'r Corff Monitro neu'r Corff 
Ardystio perthnasol, os nad ydych chi wedi gwneud hynny yn barod. 


Gwefannau amheus 


Hefyd os yw'r trosedd yn ymwneud â gwefan amheus, ystyriwch y gallwch 
chi roi gwybod i'r Ganolfan Seiberddiogelwch Genedlaethol (NCSC). Drwy 
roi gwybod, gallwch helpu i atal seiberdroseddwyr a diogelu eraill ar-lein. 
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Fydd yr ICO ddim yn gweld manylion eich adroddiad i'r NCSC, felly dylech 
sicrhau eich bod yn dweud popeth wrthon ni y mae angen inni ei wybod 
ar y ffurflen hon. 


Rhoi gwybod am wefan amheus - NCSC.GOV.UK 
Amdanoch chi 


Enw'r sefydliad 


Rhowch fanylion enw'ch cwmni lle mae'n dweud 'Enw'r sefydliad (rheolwr 
data)'. Nid yw hyn yn golygu'r unigolyn penodol sydd wedi llenwi'r 
adroddiad. Yn hytrach, rhaid darparu manylion cyswllt y sawl sy'n llenwi'r 
adroddiad yn yr adran 'Y person sy'n llenwi'r adroddiad hwn'. 


Rhif cofrestru 


Rhowch eich Rhif Cofrestru ICO. Os ydych yn esempt, rhowch D/G yn yr 
adran hon. 


Os nad ydych wedi cofrestru, rhowch y rheswm dros eich 
esemptiad 


Manylwch ar y rheswm/rhesymau posibl eich bod yn esempt rhag talu'r ffi 
gofrestru. Os ydych yn ansicr ynglŷn â'ch statws, rhowch gynnig ar ein 
hofferyn hunanasesu ar-lein. 


Sector busnes 


Esboniwch i ba ddiwydiant y mae'ch sefydliad yn perthyn. 


Cyfeiriad y sefydliad cofrestredig 


Rhowch eich cyfeiriad masnachu. 


Y person sy'n llenwi'r adroddiad hwn 


Sylwch y bydd unrhyw ohebiaeth a fydd yn cael ei hanfon yn y dyfodol 
ynghylch eich achos (os ydych yn llenwi adroddiad ar-lein) yn cael ei 
hanfon i gyfeiriad ebost y person sy'n llenwi'r ffurflen wreiddiol. Gall hyn 
gynnwys ceisiadau am ragor o wybodaeth os byddwn yn teimlo bod 
hynny'n briodol. Gofalwch fod yr aelod staff yn eich sefydliad sy'n rhoi 
gwybod am y trosedd yn briodol i ddelio â'r cais hwn (ac yn gallu 
cydgysylltu ag unigolion/meysydd busnes eraill os oes angen). 
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